Как в Symfony отключить создание session при вызове api методов?

Question

[Алексей Анисимов]

Добрый день.

В проекте на Symfony 2.8 есть админка (роут /admin) и api (роут /api). Для api используется jwt.
Требуется сделать так, чтобы при вызове методом api сессии не создавались (создание сессий только для админки)

Еще есть такая проблема:
1. Зашел в админку под админом
2. Вызвал метод api, без токена авторизации (например, /api/article/1)
3. Сессия админа слетает, надо заново входить в админку

Кто-нибудь сталкивался с подобной задачей? Как можно отключить сессии для api?

Answer 1

[Александр Кузнецов]

Вообще, все API методы должны иметь свой файрвол безопасности, к примеру через тот же JWT.
У LexikJWTAuthenticationBundle в конфигурации хорошо это показано.

security:

    # ***
    
    firewalls:
    # ***
        refresh:
            pattern:  ^/api/v1/token/refresh
            stateless: true
            anonymous: true
    # ***
        api:
            pattern:   ^/api
            stateless: true
            guard:
                authenticators:
                    - lexik_jwt_authentication.jwt_token_authenticator

Так же, важен порядок следования файрволов, API у меня идет выше основного.

Comments

[Алексей Анисимов]

У нас так и сделано. Но моей проблемы это никак не решает.

[Александр Кузнецов]

Алексей Анисимов: У вас стоит: stateless: true ?

[Александр Кузнецов]

Алексей Анисимов: И еще, файрвол API свой? Он не перекрывается файрволом админки?

[Алексей Анисимов]

stateless: true для api
firewall у админки свой, у api свой (у api даже несколько их, под разные роуты)

[Александр Кузнецов]

Алексей Анисимов: А как на счет перекрытия?
И еще, что за JWT-провайдер? Он не может использовать сессию сам, в наглую?
У меня Symfony 3, открыт веб (залогинен админом) и на виртуалке периодично дергается мобильным клиентом API. На веб это вообще никак не влияет.
Для JWT я использую LexikJWTAuthenticationBundle

[Алексей Анисимов]

у нас тоже LexikJWTAuthenticationBundle

[Алексей Анисимов]

суть в том, что у меня открыта админка в одной вкладке браузера и метод api в другой вкладке

/admin
/api/article/1

если после логина я обновлю вкладку с методом api, то логин слетает и в админке надо заново логинеться

[Алексей Анисимов]

удаляется сессия при открытии метода api

[Александр Кузнецов]

Алексей Анисимов: У меня RESTED стоит, расширение для тестирования. Проблем не было ни разу.
По делу. Вы решаете какую-то реальную проблему? Или в процессе отладки столкнулись с неудобством? Просто если это просто неудобство - используйте клиенты для тестирования API, защищенных JWT. Честно говоря, я так не тестировал свой API, возможно это и воспроизведется. Но.. зачем?

P.S. Открыл админку (у меня SonataAdminBundle), в соседней вкладке открыл API. Сначала получил токен админа и получил данные, все ок и так и там. Потом получил токен обычного пользователя, тоже получил API данные. Все так же ок, в админке как работал так и работаю.

Может у вас баг где-то в бандлах?
У меня Symfony 3 Standart Edition, пакеты вчера обновлял.

[Алексей Анисимов]

если использовать разные браузеры: один - для админки, другой - для api, то сессия не слетает у админки

[Александр Кузнецов]

У меня в Opera все работает (см коммент выше). Мне кажется, что проблема тут в другом.
По факту, если stateless же, то сессия просто не стартует же.

[Алексей Анисимов]

А если вы откроете метод без токена? то есть в админке залогинеться под админом, а потом просто открыть метод без токена (роль должна быть IS_AUTHENTICATED_ANONYMOUSLY)

[Алексей Анисимов]

админка тоже на сонате

[Александр Кузнецов]

Алексей Анисимов: М, вообще у меня везде ..FULLY стоит.

Сделал как вы предложили. Но! Мне пришлось добавить файрволл для доступа к данному API-эндпоинту, ну и в access_control я добавил правило с доступом к нему :

- { path: ^/api/v1/registry/reasons, roles: IS_AUTHENTICATED_ANONYMOUSLY }

Все отлично отработало, админ в соседней вкладке не отвалился, а данные я получил. Ну и пользователя в экшене нет, NULL.

[Алексей Анисимов]

а покажите, пожалуйста, как вы описали firewall для этого метода

[Александр Кузнецов]

Просто скопипастил из файрвола для рефреша токена и все:

anon_reasons:
            pattern:  ^/api/v1/registry
            stateless: true
            anonymous: true

[Алексей Анисимов]

все разобрался, спасибо :)
баг был не в этом. в проекте есть event listener, который делает session destroy :)